Приложение N 4. Регламент по организации парольной защиты в сегментах медицинской информационной системы Нижегородской области "МИС Сегмент ГБУЗ". Приказ Министерства здравоохранения Нижегородской области от 14.04.2020 N 315-277/20П/од "Об утверждении организационно-распорядительных документов по технической защите персональных данных в Региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области"

Приложение N 4
к приказу министерства здравоохранения
Нижегородской области
от 14.04.2020 N 315-277/20П/од

Регламент
по организации парольной защиты в сегментах медицинской информационной системы Нижегородской области "МИС Сегмент ГБУЗ"

1. Общие положения

1.1. Настоящая Инструкция (Регламент) регламентирует организационно-техническое обеспечение процессов генерации, выдачи пользователям, смены и прекращения действия паролей в информационных системах персональных данных "МИС. Сегмент ГБУЗ" учреждений здравоохранения Нижегородской области.

1.2. Настоящая Инструкция предназначена для использования в работе сотрудниками, исполняющими обязанности администратора системы "МИС. Сегмент ГБУЗ", и определяет порядок обеспечения защиты локальных ресурсов информационной системы персональных данных (ИСПДн), использующих подсистемы парольной защиты от несанкционированного доступа (НСД).

1.3. Парольная защита при работе в сегменте МИС осуществляется с целью предотвращения несанкционированного доступа к информации, содержащей сведения ограниченного распространения (персональные данные).

1.4. Парольная защита является составной частью подсистемы управления доступом общей системы защиты от НСД в МИС Нижегородской области.

1.5. Ответственность за непосредственную работу с паролями (своевременный ввод в действие, замену и уничтожение) возлагается на администратора системы "МИС. Сегмент ЦОД".

1.6. К основным видам (категориям) паролей, используемых в сегменте МИС, относятся:

N	Вид	Кто создает пароль	Порядок выдачи
1.	Пароли доступа пользователей и администратора к терминальным станциям и информационным киоскам учреждения здравоохранения	Администратор системы "МИС. Сегмент ГБУЗ", сотрудник обслуживающей организации создают логины и пароли	Сотрудник обслуживающей организации создает учетные записи пользователей и передает администратору системы. Администратор учитывает учетные записи в журнале выдачи идентификаторов системы "МИС. Сегмент ГБУЗ" и выдает пользователям сегмента МИС логины, пользователь задает пароль доступа
2.	PIN-код аппаратных идентификаторов пользователей	PIN-код задает пользователь либо администратор сегмента ГБУЗ	Пользователь может самостоятельно изменить PIN-код после успешной авторизации на терминальной станции. Администратор сегмента ГБУЗ может самостоятельно изменить PIN-код пользователя после успешной авторизации на терминальной станции под администраторской учетной записью
3.	Пароль и сертификат ключа доменного пользователя/администратора	Начальные списки доменных пользователей (имя, пароль, сертификат) создает сотрудник обслуживающей организации и передает Администратору системы "МИС. Сегмент ЦОД" согласно списку. Пароль задает пользователь	Для сегмента ГБУЗ: Администратор системы "МИС. Сегмент ЦОД" либо сотрудник обслуживающей организации создает сертификаты и записывает их на токены, передает согласно списку администратору системы "МИС. Сегмент ГБУЗ". Администратор "МИС. Сегмент ГБУЗ" ведет учет токенов в журнале учета идентификаторов и выдает их пользователям сегмента МИС под роспись. Администратор системы "МИС. Сегмент ЦОД" либо сотрудник обслуживающей организации создает доменные учетные записи пользователей и передает Администратору системы "МИС. Сегмент ГБУЗ" сводный перечень доменных учетных записей пользователей сегмента ГБУЗ. Администратор системы "МИС. Сегмент ГБУЗ" ведет их учет в журнале учета идентификаторов и выдает пользователям сегмента ГБУЗ под роспись. Пользователь может изменить пароль после успешной авторизации
4.	Пароль доступа пользователей к прикладному комплексу МИС	Генерируется функционалом модуля администрирования прикладного комплекса МИС по запросу пользователя либо задается самим пользователем функцией "Смена пароля" после успешной авторизации либо администратором сегмента ГБУЗ в соответствии с настройками парольной политики	Администратор системы сегмента ГБУЗ, администратор системы сегмента ЦОД, сотрудник технической поддержки МИС создают учетную запись (только для сотрудника своего сегмента) и назначают ей роли в МИС. При создании учетной записи прикладной комплекс МИС генерирует пароль к учетной записи пользователя согласно настроенным политикам и отправляет пароль электронным письмом на внутренний доменный ящик электронной почты пользователя, указанный при регистрации в МИС

1.7. Порядок работы с паролями вводится с момента утверждения данной Инструкции.

2. Требования к организации парольной защиты

2.1. В случае, если средство защиты информации либо программное обеспечение позволяет задать требования к сложности паролей, используемых для идентификации и аутентификации субъектов доступа, то пароли должны отвечать следующим требованиям:

- длина пароля должна быть не менее 6 символов;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, день рождения и другие памятные даты, номер телефона, автомобиля, адрес местожительства, наименования АРМ, общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP, GUEST, ADMINISTRATOR, QWERTY и т.д.) и другие данные, которые могут быть подобраны злоумышленником путем анализа информации о пользователях;

- не использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;

- не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 или 1qazxsw2 и т.п.);

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 2 позициях;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах и цифры, желательно использование специальных символов (@, #, $, &, *, % и т.п.);

- запрещается использовать ранее использованные пароли;

- лица, использующие пароли, обязаны своевременно сообщать администратору системы обо всех возникающих нештатных ситуациях.

2.2. Пользователям и администраторам сегментов ГБУЗ запрещается:

- записывать свои пароли в очевидных местах, на рабочей поверхности рабочей станции, монитора, клавиатуры (включая обратную сторону) и т.д.;

- хранить пароли в записанном виде в рабочих тетрадях, на отдельных листах бумаги;

- сообщать посторонним лицам свои пароли, а также сведения о применяемой системе защиты от НСД;

- вводить свои авторизационные данные (пароли, ПИН-коды) в присутствии третьих лиц. Должна быть исключена возможность визуального ознакомления с паролями другими лицами (пользователя) при их вводе.

2.3. Администраторы систем сегментов МИС несут личную ответственность за организацию работ в соответствующем сегменте МИС по безусловному выполнению требований настоящей инструкции и других документов, регламентирующих использование парольной защиты.

3. Порядок организации доступа пользователей к ресурсам системы

3.1. С целью организации доступа пользователей УЗ к прикладным сервисам, в МИС реализовано несколько рубежей аутентификации. Механизмы аутентификации реализуются программными и программно-аппаратными средствами сегмента ЦОД и сегментов ГБУЗ.

3.2. Организация доступа пользователей к прикладным сервисам МИС НО осуществляется по следующей схеме:

- Ответственные сотрудники, исполняющие функции администраторов системы, администраторов безопасности сегмента ЦОД, администраторов сегментов ГБУЗ, либо сотрудники техподдержки создают необходимые учетные записи для пользователей сегментов ГБУЗ (согласно своим полномочиям), производят настройки учетных по допускам к различным модулям системы;

- Ответственные сотрудники сегментов ГБУЗ, исполняющие функции администраторов системы, организуют функционирование и администрирование средств вычислительной техники и средств защиты информации сегмента МИС в соответствии с их должностными и функциональными обязанностями, проводят инструктаж пользователей (допущенных к работе в МИС приказом руководителя УЗ, по работе с сервисами МИС), а также организуют выдачу регистрационной информации (имя, логин, аппаратный ключ) пользователям под роспись с внесением соответствующих записей в журналы. Учетные данные пользователей для доступа к прикладному комплексу МИС автоматически высылаются пользователю на терминальную локальную электронную почту, указанную при регистрации.

4. Порядок смены паролей

4.1. Полная плановая смена паролей в АС проводится регулярно:

N	Вид	Кто создает пароль	Периодичность смены
5.	Пароли доступа пользователей и администратора к терминальным станциям и информационным киоскам учреждения здравоохранения	Администратор системы "МИС Сегмент ГБУЗ"	Не реже 1 раза в 12 месяцев
6.	PIN-код аппаратных идентификаторов пользователей	Администратор системы "МИС Сегмент ГБУЗ"	Не реже 1 раза в 12 месяцев
7.	Пароль и сертификат ключа доменного пользователя сегмента ЦОД	Администратор системы "МИС Сегмент ЦОД"	Не реже 1 раза в 12 месяцев
8.	Пароль доступа пользователей к прикладному комплексу МИС	Пользователь или администратор сегмента ГБУЗ	Не реже 1 раза в 6 месяцев

4.2. Смена (удаление) пароля пользователя либо администратора системы должна производиться в следующих случаях:

- при наступлении планового срока смены пароля;

- в случае прекращения полномочий пользователя системы (увольнение, переход на другую работу внутри организации и др.);

- при подозрении или обнаружении факта компрометации пароля;

- по указанию либо по согласованию с администратором безопасности системы МИС.

4.3. При осуществлении смены новый пароль передается пользователю в порядке, определенном настоящей инструкцией.

5. Порядок применения паролей

5.1. Пароли, используемые пользователями для доступа к ресурсам МИС, вводятся пользователем с клавиатуры или с применением персональных идентификаторов (аппаратных ключей).

5.2. После окончания работы пользователя либо при необходимости временно покинуть рабочее место пользователь обязан осуществить выход из системы и (или) выключение терминальной станции.

6. Действия в случае компрометации паролей

6.1. Компрометация действующих паролей является чрезвычайным происшествием, о чем администратор системы обязан сообщить администратору безопасности МИС.

6.2. Под компрометацией понимается хищение, утрата действующих паролей, передача или сообщение их лицам, не имеющим на то права, несанкционированный доступ к данным пользователя, защищаемым паролем, другие действия пользователей, приведшие к получению его пароля лицами, не имеющими на то права.

6.3. Скомпрометированные пароли выводятся из действия немедленно, при этом производится перегенерация паролей либо деактивация соответствующих учетных записей пользователей.

6.4. По каждому случаю, связанному с компрометацией действующих паролей, организуется и проводится установленным порядком служебное расследование. По результатам расследования к лицам, допустившим разглашение паролей, принимаются необходимые административные меры.

Лист ознакомления ответственных лиц УЗ

N п/п	ФИО, должность	Дата ознакомления	Подпись сотрудника